Redazione RHC : 10 septiembre 2025 09:00
Un investigador de Limes Security, bajo el seudónimo f0rw4rd, ha presentado una nueva herramienta para desarrolladores y testers: tls-preloader. Se trata de una biblioteca universal que permite deshabilitar completamente la verificación de certificados TLS, simplificando la depuración y el análisis de aplicaciones con conexiones cifradas.
La solución se distribuye como la biblioteca LD_PRELOAD, que integra funciones de las bibliotecas TLS más populares. Funciona con OpenSSL (incluidas las versiones 1.0.x, 1.1.x y 3.x), BoringSSL, LibreSSL, GnuTLS, NSS, mbedTLS y wolfSSL, y puede eludir las comprobaciones integradas de libcurl. Los autores señalan que la biblioteca es multiplataforma y compatible con Linux, FreeBSD, OpenBSD, NetBSD, Solaris, AIX y macOS. Durante la compilación, se tienen en cuenta automáticamente las capacidades de la plataforma de destino y se aplican optimizaciones de seguridad de subprocesos, desde mutex de pthread hasta operaciones atómicas.
Usar tls-preloader es facilísimo: simplemente compila la biblioteca y cárgala con LD_PRELOAD. Después, puedes ejecutar cualquier programa, desde curl y wget hasta scripts de Python o Firefox, con la comprobación de certificados desactivada. Para mayor comodidad, se proporciona un modo de depuración y la capacidad de generar seguimientos de pila al llamar a funciones interceptadas.
En OpenSSL y sus derivados, la biblioteca intercepta las funciones SSL_CTX_set_verify() y las comprobaciones de expiración de host y certificados relacionadas con X509_verify_cert(). En GnuTLS, estos mecanismos se evitan mediante gnutls_certificate_verify_peers, mientras que en NSS se utilizan los ganchos SSL_BadCertHook() y CERT_VerifyCert(). Se aplican técnicas similares a otras implementaciones de TLS.
La herramienta está dirigida a desarrolladores y testers que trabajan con certificados autofirmados o caducados y necesitan una depuración rápida. Los autores enfatizan que se desaconseja totalmente el uso de la biblioteca en sistemas de producción, ya que elimina por completo uno de los elementos clave de la protección HTTPS.
Las limitaciones del proyecto incluyen la imposibilidad de trabajar con binarios compilados estáticamente y la falta de compatibilidad con los navegadores Chrome y Chromium, que incorporan BoringSSL. Además, las aplicaciones con fijación estricta de certificados aún pueden bloquear las conexiones.
El proyecto es de código abierto y está disponible en GitHub.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
